CERT-SE startsida
Sök inom CERT-SE
Uppdaterad: 2024-04-18 14:00 Publicerad: 2024-04-12 10:47

BM24-002 Kritisk sårbarhet i PAN-OS

Blixtmeddelande PAN-OS Palo Alto

Palo Alto varnar om en kritisk sårbarhet i PAN-OS. Sårbarheten har fått maximal CVSS-klassning, 10 av 10. [1]

Sårbarheten (CVE-2024-3400) återfinns i en kommandoinjektion i GlobalProtect-funktionen i PAN-OS. Detta berör specifika versioner av PAN-OS (se nedan) och särskilda konfigurationer, där det då är möjligt för en angripare att köra godtycklig kod med root-behörighet i brandväggen.

Enligt Palo Alto utnyttjas sårbarheten aktivt.

Uppdatering 2024-04-15

Enligt uppdaterad information från Palo Alto [1] kommer säkerhetsuppdateringar för de versioner av PAN-OS som påverkas (PAN-OS 10.2, PAN-OS 11.0 och PAN-OS 11.1) att publiceras löpande under vecka 16. Se mer detaljerad information om hur sårbarheten utnyttjas i blogginlägg från Palo Alto samt Volexity [2, 3].

Uppdatering 2024-04-17

Proof-of-concept-kod för sårbarheten finns nu publicerad. Palo Alto har även justerat informationen kring vilka konfigurationer av produkterna som påverkas [1].

Tidigare meddelade Palo Alto att inaktivering av telemetrifunktioner i enheter var en rekommenderad åtgärd för att begränsa risken för utnyttjande av sårbarheten. I en uppdaterad version står det att telemetrifunktioner inte behöver vara aktiverade för att PAN-OS-brandväggar ska riskera att utsättas för angrepp kopplade till denna sårbarhet. CERT-SE har justerat rekommendationerna nedan till följd av den nya informationen.

Påverkade produkter

Sårbarheten berör följande produkter:

Flera versioner av:

PAN-OS 10.2 (versioner innan 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 och 10.2.9-h1)
PAN-OS 11.0 (versioner innan 11.0.2-h4, 11.0.3-h10 och 11.0.4-h1)
PAN-OS 11.1 (versioner innan 11.1.0-h3, 11.1.1-h1 och 11.1.2-h3)

Andra versioner av PAN-OS påverkas inte, inte heller Cloud NGFW, Prisma Access eller Panorama-lösningar.

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter omgående, så snart respektive säkerhetsuppdatering finns tillgänglig. En rekommenderad åtgärd är att undersöka hur GlobalProtect-funktionen är konfigurerad (Network > GlobalProtect > Gateways eller Network > GlobalProtect > Portals). Stäng i så fall av den funktionaliteten. Det finns även en mitigerande åtgärd för användare som har en Threat Prevention-prenumeration. Alla verksamheter som varit sårbara bör även söka efter tecken på intrång. Se mer information i leverantörens instruktioner [1].

CERT-SE tar tacksamt emot information om relaterade incidenter och intrångsförsök.

Källor

[1] https://security.paloaltonetworks.com/CVE-2024-3400

[2] https://unit42.paloaltonetworks.com/cve-2024-3400/

[3] https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/